2011. augusztus 25., csütörtök

A vezetéknélküli hálózatokról általában

Hi!
Ebben a posztban egy pár szót ejtenék a vezetéknélküli hálózatokról, azok védelméről, (nagyon)nagyvonalakban.

Előzőleg hacker kifejezéseket használtam a bejegyzésben, ezt módosítanám. A hacker az, aki sokat tud, de nem romboló szándékú, a cracker pedig ennek ellentettje, rombol, adatot lop-manipulál-semmisít meg. Nyílván aki betör egy hálózatba és azt a tulaj tudomására hozza, hogy mikor, hogyan jött be, valamint nem okoz kárt, ő hacker. Így talán érezhető a különbség.

Az átlagfelhasználó, mikor megvesz egy routert, bedugja, van internet, oké. Nem számol azonban azzal, hogy a routerek alapesetben nem adnak védelmet a vezetéknélküli hálózatnak, így az bárki számára hozzáférhetővé válik. Ha szlengben akarnám megfogalmazni, tudják "lopni a netet". A cracker, aki többet is akar az ingyen internetnél, ezen keresztül ellophatja a jelszavainkat, betörhet a számítógépünkbe, károkat okozhat. Ezt megelőzendő találták ki a vezetéknélküli hálózatok (továbbiakban WLAN-ok) hitelesítését és titkosítását. A hitelesítésről most nem beszélnék, inkább csak a titkosításokról. A mostani, IEEE 802.11 szabványú WLAN-okon kétféle titkosítási forma létezik. A WEP (Wired Equivalent Protection), és a WPA/WPA2 (Wifi Protected Access).


WEP: Régi, mondhatni elavult titkosítás, manapság két perc alatt feltörhető. Nem ad nagy biztonságot. A WEP titkosítású rendszer jelszavát meghatározott számú adatcsomag után egy statisztikai támadás során lehet eredményesen feltörni. Használható a szótár alapú támadás is, de a kellő adatcsomag-mennyiség után a statisztikai támadás 100%-os pontosságú. Egy kliensek nélküli WEP hálózatban visszaforgatott csomagokkal késztethetjük a routert értékes adatcsomagok küldésére, amiből ugye vissza lehet fejteni a jelszót. Használata ma már nem ajánlott.

WPA/WPA2: Mostanság a legjobb védelem a WLAN-okhoz. Nagy biztonságot ad, kliens nélküli WPA2 titkosítású WIFI-t úgy tudom nem lehet feltörni. WPA titkosítás esetén statisztikai támadás nem lehetséges, mindenképp "deautentikálni" kell egy kapcsolódott klienst, hogy a router küldje az ő "kézfogását" (handshake-et), amiből egy szótár alapú támadással nyerhetjük ki a jelszót, avagy egy szivárványtábla alapú támadást eszközölhetünk meg. A nyers erő (brute force) támadást itt nem is említem meg, hisz egy erős jelszó feltöréséhez ilyen támadási módszerrel több év kellene.


Mindkét titkosításnál említettem a kliensek szerepét (van-e, vagy nincs). Ezt azért tettem, mert a kliensek adatforgalma az AP-vel (Access Point, hozzáférési pont) titkosítatlan csatornán fut, egy külső ember láthatja a kapcsolódott kliensek MAC címét, küldött és fogadott adatcsomagok számát, stb.

Az ideális és maximális védelem a vezetéknélküli hálózatokhoz valahogy így néz ki:

  • Tiltsuk le az SSID szórást (SSID broadcast), így ha valaki szkenneli az étert WIFI jel után kutatva, nem láthatja azt (kivéve ha van aircrackje, de akkor is csak az SSID hosszát látják), így elvileg csak azok csatlakozhatnak a hálózathoz, akik ismerik annak SSID-jét+változtassuk meg az alapértelmezett SSID-t
  • Mindenképpen használjunk hitelesítést és titkosítást. Mint említettem, a WPA2 a mostani legjobb. Ezeket elvileg a Wireless-->Security menüpont alatt lehet találni alap routerekben. DD-WRT esetén Wireless-->Wireless Security
  • Használjunk erős jelszavakat, amelyek tartalmazzák az ABC kis- és nagybetűit, számokat, valamint speciális karaktereket (pl.: +-_/?) (megj.: az én hálózatomban a jelszó 14 karakterből áll, tele kisbetűvel, nagybetűvel, számmal, és speciális karakterekkel)
  • Változtassuk meg a router konfigurációs felületének alapértelmezett jelszavát (Administration résznél lehet), valamint a router alapértelmezett IP címét. DD-WRT esetén tiltsuk le továbbá az "Info Site" lehetőséget, amit akkor érünk el, ha a szolgáltatótól kapott külső IP címet beütjük a böngészőbe.
  • Kössük a router konfigurációs felületére való bejelentkezés lehetőségét olyan számítógépekhez, amelyeket mi használunk.
  • Használjunk MAC szűrést (MAC Filtering). Adjuk hozzá a számítógépeink, laptopjaink és mobil eszközeink MAC címét az engedélyezett eszközök listájához, a többi eszközt tiltsuk le! (ez a védelem sajnos könnyen megkerülhető egy olyannak, aki ért hozzá)
  • Csökkentsük a jel leadási teljesítményét lehetőség szerint, így a házban foghatjuk csak a Wifit, az utcán például már nem tudja senki. (Ezt sajnos angolul nem tudom, talán a TX power lesz az)
    Update: Igen, a TX power a jel erőssége, ezt lehet dBm-ben állítani
  • Ha nem akarjuk külső hálózatról menedzselni a routert, tiltsunk le minden távoli hozzáférést (Remote Access)
  • DD-WRT esetén lehetőség van telnet és ssh segítségével bejelentkezni. Ha nem használjuk ezeket, tiltsuk le! Ha szükség van parancssori menedzsmentre, inkább használjuk az ssh-t, de az alapértelmezett 22-es portot változtassuk meg egy 10000 feletti portszámra. Egy lightos portszkennelés, úgy olvastam nem megy 10000 fölé. Ez is valamelyest védelmet ad.
  • Ha használunk paranccsori eszközöket, limitáljuk azoknak használatát, elkerülendő egy esetleges Denial of Service (szolgáltatásmegtagadás), vagy egy Brute Force (nyers erő) támadást.
Talán mindent leírtam :-) Ha ezeket a pontokat betartjuk, megnehezítjük a crackerek dolgát. Azért csak megnehezítjük, mert feltörhetetlen védelem nincs. DE! Ezekkel a védelmekkel a hálózat feltörése sokáig tart, nagy valószínűséggel el is megy tőle a crackerek kedve :-) A hálózati ismeretek órák mi mindenre voltak jók :-)


Ha lenne rá igény, írnék a vezetéknélküli hálózatokba történő behatolásról aircrack-ng segítségével. :-)

Addig is brékesség :-)

Bejegyezte: Pötöc dátum: 9:56

Nincsenek megjegyzések:

Megjegyzés küldése

Feliratkozás: Megjegyzések küldése (Atom)